eID des ePerso nicht mehr sicher?

Identität lässt sich auch hier stehlen

Die Antwort ist JEIN, denn ein anonymer Sicherheitsforscher mit dem Namen CtrlAlt hat zwar ein Beispiel aufgezeigt, wie ein Endgerät eines Anwenders durch eine über eine Pishing Mail erhaltene verseuchte App kompromittiert werden kann. Aber in so einem Fall gilt, wie bei allen Fällen, wo Menschen aus eigener "Dummheit" auf Angriffe hereinfallen - selbst schuld.

Mit dieser schnellen Antwort wollte sich Jürgen Schmidt, Leiter heise Security, nicht zufrieden geben und hat das Problem näher untersucht. Er geht vom Anspruch des eID-Verfahrens aus, den sich die Bundesregierung mal gestellt hatte und sagt: Doch der Anspruch des eID-Systems war und ist es, eine digitale Ausweisfunktion bereitzustellen, die auch dann noch sicher ist, wenn das Endgerät des Anwenders kompromittiert wurde – etwa wie hier mit einem Trojaner. Da hält die eID ihr Versprechen als unabhängiger Vertrauensanker nicht ein.

Im weiteren nennt er zwei Verbesserungsmöglichkeiten, eine davon lässt sich schnell anwenden. Es wäre bereits eine Hilfe, wenn die Nutzer eine Liste des BSI einsehen könnten, welche Apps und welche Updates vertrauenswürdig seien und eventuell auch Hinweise zu aktuellen Fake Apps als Warnung. Das BSI prüft diesen Vorschlag zur Zeit.

Der zweite Vorschlag geht ans Eingemachte. Dazu muss man wissen, dass eine ID-Feststellung in der eID App mit einer URL der Form eid://... beginnt. Solche URL-Schemes gelten bereits seit einigen Jahren nicht mehr als sicher, vor allem, wenn sich jede App, also auch ein Trojaner, dort registrieren kann. Sowohl für iOS als auch für Android gibt es sogenannte Universal URLs, bei denen definierte Deep-Links zum Anbieter den Aufruf einer App triggern, wie Heise Security vorschlägt. Die Antwort des BSI auf diesen Vorschlag ist wesentlich zurückhaltender, denn der Ansatz der Universal Links würde "das Ziel der Interoperabilität und Offenheit/Transparenz des eID Systems deutlich einschränken".

Die eID für den ePerso war ja vor vielen vielen Jahren aus der Taufe gehoben worden, um auch Firmen die Möglichkeit zu geben eine sichere Identifikation ihrer Nutzer sicherzustellen. Über Jahre gab es praktisch keine sinnvollen Anwendungen und auch heute kommen die immer noch wenig genutzten aus dem Öffentlichen Dienst. Selbst der vor 2 Jahren eingeführte und von uns verurteilte Zwang zur Freischaltung der eID in jedem neu ausgegebenen Personalausweis hat die Nutzerzahlen kaum beflügelt.

Wir zitieren hier gern eine Meldung aus dem Jahr 2010: Notbremse beim E-Personalausweis ziehen „Die übereilte Einführung des neuen Personalausweises fällt der Bundesregierung schneller auf die Füße als befürchtet" (Die Linke fordert Verzicht auf ePerso ) und verweisen auf über 50 Artikel (s.u.) in denen wir uns mit dem Thema "ePerso" beschäftigen mussten. Wir geben allerdings gerne zu, dass eine verlässliche und sichere Identifikation immerhin eine sinnvollere Anwendung als die ebenfalls staatlich eingeführte (und inzwischen beerdigte) DE-Mail mit stückweise verschlüsselten Nachrichten wäre.

Mehr dazu bei https://www.heise.de/hintergrund/eID-und-AusweisApp-kritische-Sicherheitsluecke-aber-auch-gefaehrlich-9632374.html und alle unsere Artikel zum ePerso https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=ePerso&sel=meta

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3z6 Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8689-20240221-eid-des-eperso-nicht-mehr-sicher.html

Gibt die EU Kommission klein bei?

Zugriff auf unsere biometrischen Daten durch die US-Polizei?

Wenn sich die EU, allen voran der EuGH so kleinlich haben und den USA ständig verbieten wollen auf die Daten der EU Bürger zuzugreifen - und zwar egal ob das Abkommen dazu Safe Harbor oder Privacy Shield heißt - dann vereinbaren die USA die Weitergabe der Daten einfach mit jedem Staat in der EU einzeln.

Wie netzpoliti.org schreibt, wollen US-Behörden Fingerabdrücke und Gesichtsbilder in insgesamt 40 Staaten abfragen, die meisten davon in Europa. "Um einem Flickenteppich zu vermeiden" will sich nun die EU Kommission doch zu dem Deal hinreißen lassen.

Damit ihre Bürger:innen zu geschäftlichen oder touristischen Zwecken für maximal drei Monate ohne Visum in die USA einreisen dürfen - so sieht es das "Visa Waiver Program" (VWP) der US-Regierung vor - müssen die Polizeien im Rahmen eines „Enhanced Border Security Partnership“ (EBSP) Zugang zu ihren Biometrie-Datenbanken für Fingerabdrücke und biometrische Fotos gewähren.

Selbst netzpolitik.org stellt erstaunt fest: "Ein solcher Direktzugriff aus dem Ausland ist selbst unter befreundeten Geheimdiensten unüblich." Damit würden die USA nach mehr als 10-jährigem Bemühen letztendlich doch ihren Willen durchsetzen.

Außerdem würde das Verfahren den 1997 geschlossenen Vertrag von Amsterdam zur EU-Visapolitik verletzen. Danach müssen alle EU-Bürger, egal aus welchem Staat sie kommen, gleich behandelt werden. Da Bürgern aus Bulgarien, Rumänien und Zypern aber die Teilnahme am visafreien Reisen in die USA weiterhin verwehrt sein soll, werden diese drei Staaten benachteiligt.

Zu diesen rechtlichen Verletzungen kommt noch der schale Beigeschmack, dass diie „Enhanced Border Security Partnership“ nicht auf Gegenseitigkeit beruht, denn der direkte Zugriff deutscher Behörden auf die entsprechenden Daten von US Bürgern soll erst 2027 in die Diskussion einbezogen werden. Flüchtlingsorganisationen befürchten auch, dass die Abfragen der sensiblen Daten für Asylverfahren genutzt werden können.

Formal muss die EU Kommission erst einmal einen Auftrag für Verhandlungen von den EU Staaten zu diesem Thema bekommen, doch der Druck dazu wird von den USA aufgebaut.

Mehr dazu bei https://netzpolitik.org/2023/alleingang-in-bruessel-eu-kommission-prueft-zugriff-auf-biometriedaten-durch-us-polizei/

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3vr Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8478-20230801-gibt-die-eu-kommission-klein-bei.htm

24.06.2021 Biometrisches Foto und Fingerabdruck von Allen

Die Odyssee geht weiter ...

Eine Transformation für 37€ : Der digitale Fortschritt schreitet unaufhaltsam voran - aus schwarz-weiß wird echte bunte Farbe ...

Um wieviel Bytes Speicherplatz der Chip im Ausweis gewachsen ist, obwohl die Trägerkarte auf ein Viertel geschrumpft ist, wissen wir leider nicht ...

Vor 3 Jahren hat eine Aktive aus unserem Verein die Odyssee unternommen einen neuen Ausweis zu beantragen. Ihr Bericht "Die Odyssee des biometrischen Abbilds" war erschreckend und in den Auswüchsen der Zwangsdigitalisierung teilweise auch komisch.

Inhaltsverzeichnis

Einleitung

Das biometrische Foto und nun der Fingerabdruck

Unsere Kritik

Zwei Erlebnisberichte

Wunder gibt es immer wieder

Eine nur eineinhalbjährige Odyssee

Sicherheitslücken

Zurück zur traurigen Realität - wir haben in den letzten 12 Jahren die verschiedensten Sicherheitslücken in den mit RFID Chip ausgestatteten Ausweisen und Passdokumenten dokumentiert.

23.07.2020 Elektronischer Personalausweis auf dem Handy? https://www.aktion-freiheitstattangst.org/de/articles/7337-20200723-elektronischer-personalausweis-auf-dem-handy.htm

06.09.2017 Verfassungsbeschwerde gegen Ausweiszwang beim SIM Karten Kauf https://www.aktion-freiheitstattangst.org/de/articles/6170-20170906-verfassungsbeschwerde-gegen-ausweiszwang-beim-sim-karten-kauf.htm

18.05.2017 Nationale Datenbank für biometrische Fotos https://www.aktion-freiheitstattangst.org/de/articles/6037-20170518-nationale-datenbank-fuer-biometrische-fotos.htm

24.01.2017 Personalausweisgesetz bürger- und datenschutzfreundlich realisieren! https://www.aktion-freiheitstattangst.org/de/articles/6468-20170124-personalausweisgesetz-buerger-und-datenschutzfreundlich-realisieren.htm

16.01.2017 Fingerabdrücke aus 3m Entfernung fotografiert https://www.aktion-freiheitstattangst.org/de/articles/5882-20170116-fingerabdruecke-aus-3m-entfernung-fotografiert.htm

14.12.2016 Vertrauen in ePerso wird per Gesetz erzwungen https://www.aktion-freiheitstattangst.org/de/articles/5841-20161214-vertrauen-in-eperso-wird-per-gesetz-erzwungen.htm

28.08.2013 ePerso - Staatliches Datenleck in Deutschland https://www.aktion-freiheitstattangst.org/de/articles/3822-20130828-eperso-staatliches-datenleck-in-deutschland.htm

14.03.2013 EUGh prüft biometrische Daten in Pässen https://www.aktion-freiheitstattangst.org/de/articles/3466-20130314-eugh-prueft-biometrische-daten-in-paessen.htm

30.12.2011 RFID geknackt https://www.aktion-freiheitstattangst.org/de/articles/2598-20111230-rfid-geknackt.htm

01.10.2010 Identitätsdiebstahl beim ePerso https://www.aktion-freiheitstattangst.org/de/articles/1575-20101001-identitaetsdiebstahl-beim-eperso.htm

23.09.2010 PIN ändern beim fremden ePerso - kein Problem https://www.aktion-freiheitstattangst.org/de/articles/1561-20100923-pin-aendern-beim-fremden-eperso-kein-problem.htm

26.08.2010 Pressemitteilung zum Hack des elektronischen Personalausweis https://www.aktion-freiheitstattangst.org/de/articles/1501-20100826-pressemitteilung-zum-hack-des-elektronischen-personalausweis.htm

24.08.2010 Daten von neuem Personalausweis ausgelesen https://www.aktion-freiheitstattangst.org/de/articles/1498-20100824-daten-von-euem-personalausweis-ausgelesen.htm

21.03.2010 ePass mit Funk-Chip ab November https://www.aktion-freiheitstattangst.org/de/articles/1192-20100321-epass-mit-funk-chip-ab-november.htm

17.11.2006 Pass mit RFID Chip gehackt https://www.aktion-freiheitstattangst.org/de/articles/2762-20061117-pass-mit-rfid-chip-gehackt.htm

Auch die Ausgabe eines Ausweises als App auf dem Handy steht bevor (23.07.2020 Elektronischer Personalausweis auf dem Handy? ). Über seine Sicherheitslücken werden wir sicher kurz nach seiner Einführung berichten können.

Mehr dazu in unseren Seiten über Zwangdigitaliserung https://www.aktion-freiheitstattangst.org/de/articles/zwangsdigitalisierung.htm

Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7683-20210624-biometrisches-foto-und-fingerabdruck-von-allen.htm Link im Tor-Netzwerk: nnksciarbrfsg3ud.onion/de/articles/7683-20210624-biometrisches-foto-und-fingerabdruck-von-allen.htm

Gesichtserkennung als gefährliches Gesellschaftsspiel

Was suchen die Leute bei PimEyes?

Spätestens bei der Suche nach dem eigenen Doppelgänger hat man bereits verloren, weil man dafür das eigenen Bild hochgeladen hat. Damit wächst der Vorrat für die Gesichtserkennung täglich - und es sind bereits viele Hundert Millionen.

Die biometrischen Fotos für Ausweis und Pass, gegen die wir seit mehr als 10 Jahren protestieren und die der EuGH leider für rechtens hält, waren der Einstieg in die Gesichtserkennung. Nun ist auch das ein lukratives Privatgeschäft. Die Gefahren sind:

Meine Privatsphäre und meine Anonymität sind dahin.

Der/die Gesuchte kann jede/r sein, dessen Foto Ähnlichkeiten aufweist und von den einschlägigen Programmen aufgelistet wird.

War eine Verwechselung bisher ein "kleiner Irrtum", muss nun der Verwechselte seine Unschuld beweisen. Eine Umkehrung der Unschuldsvermutung  durch massenhafte False-Positives.

Menschen in autoritären Regimen können über ihr Gesicht identifiziert werden, wenn sie  öffentlich in Erscheinung treten.

Menschen, die ihren Beruf geheim halten wollen oder müssen, wie z.B. SexarbeiterInnen, erleiden Nachteile, wenn sie über die Gesichtserkennung identifiziert werden.

Da wir die Zeit nicht zurückdrehen können, müssen wir mit diesen fragwürdigen Angeboten leben. Es stellt sich also die Frage: Wie kann man diesen Markt regulieren und welche Regierung hat überhaupt ein Interesse daran?

Es würde an der Zeit sein, bei solchen Angeboten zu prüfen, ob sie für alle vorhandenen Fotos wirklich das Einverständnis des Besitzers vorzuliegen haben. Eine Sisyphus-Arbeit ...

Mehr dazu bei https://netzpolitik.org/2022/we-fight-for-your-digital-rights-die-erfassen-milliarden-gesichter-biometrisch-ohne-jede-zustimmung/

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3r8 Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8228-20221201-gesichtserkennung-als-gefaehrliches-gesellschaftsspiel.htm

Der Personalausweis darf nicht als Pfand vergeben werden

Es wird verlangt, obwohl verboten

Und dann muss man eigentlich sagen

"Das ist zwar mein Ausweis, aber er gehört der Bundesrepublik Deutschland" oder

"Das Personalausweisgesetz in § 1 Abs. 1 Satz 3 verbietet die Ausleihe"

Denn dort steht: "Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben". Und schon hat man ein Problem, denn man muss etwas anderes finden, was die Gegenseite als wertvoll genug ansieht, um den Ausleihvorgang durchzuführen. Eigentlich sollten die persönlichen Kontaktdaten - meinetwegen abgeschrieben vom Personalausweis für die Ausleihe ausreichen. Auch eine Fotokopie des Ausweises sollte man nicht erlauben.

Hat die Digitalisierung das Problem nicht längst gelöst?

Das sollte man erwarten, nach den vielen Veränderungen an Aussehen und Inhalt des Ausweisdokuments, doch im Gegenteil: Das Ausweisdokument ist nicht nur vom Preis - inzwischen 37€ - wertvoller geworden (s. z.B. Biometrisches Foto und Fingerabdruck von Allen ). Es enthält

für Jede/n lesbar die Adresse und die persönlichen Daten

RFID Chip mit den persönlichen Daten

seit 2010 mit einem biometrischen Foto

danach mit automatisch scharf geschalteter Authentifizierungsfunktion

seit 2021 auch verpflichtend mit zwei Fingerabdrücken des Inhabers - nicht Besitzers (s.o.)

seit neuestem auch als Ausweis-App auf dem Handy

Auch wenn die Verschlüsselung des RFID-Chips für Normalmenschen sicher sein sollte, so können Personen mit Beziehungen zu "amtlichen Lesegeräten" darauf zugreifen und wer dies im Ausland sein könnte, ist schwer zu entscheiden. Hier ergibt sich die Gelegenheit auf den heutigen Geburtstag unseres Ehrenmitglieds Edward Snowden zu verweisen, der uns 2013 mit seinen Enthüllungen zu PRISM und anderen Überwachungsprogrammen auf die Gefahren durch Geheimdienste und Hacker aufmerksam gemacht hat.

Auch der Ausweis auf dem Handy ist keine Lösung des Problems, es sei denn, das Handy ist so wertvoll, dass es als Pfand angesehen wird. ;-) Damit stellt sich die Frage, wofür der Ausweis auf dem Handy überhaupt gut sein sollte (Elektronischer Personalausweis auf dem Handy? ).

Mehr dazu bei https://www.chip.de/news/Personalausweis-niemals-aus-der-Hand-geben-Warum-das-sogar-per-Gesetz-verboten-ist_184294516.htmlKategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3oa Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8056-20220621-der-personalausweis-darf-nicht-als-pfand-vergeben-werden.htm

Fälschungsichere Ausweise - Papier oder besser Kunststoff?

Personalausweis ab 300 Euro, Pass für 4.000 Euro

Personaldokumente aus Kunststoff sollten sicherer sein als solche aus Papier und die Identifikation mittels RFID-Chip wäre absolut fälschungssicher.

Das wurde uns jahrelang erzählt. Was stimmt wirklich?

Allein in Baden-Württemberg berichtet das Landeskriminalamt von 1.600 Fällen mit gefälschten Ausweisen im Jahre 2014, 2015 bereits 1.800 und 2016 schon 2250. Die Fälschungen kämen meist aus Osteuropa und wären mit bloßem Auge nicht zu erkennen.

Moderne Ausweise enthalten neben einem Wasserzeichen auch sogenannte Melierfasern, die unterschiedliche Eigenschaften und Farben aufweisen können. Ein solches Sicherheitsfeature kann jedoch nur in Papierdokumenten verwendet werden. Die heute bei Personalausweisen und Führerscheinen üblichen Kunststoffkarten im Kreditkartenformat bieten eine solche Möglichkeit nicht. Sie sind deutlich leichter nachzumachen.

Der einzige Vorteil von Kunststoffkarten ist das Verschmelzen der in einzelne Schichten integrierten Personaldaten, so dass eine Separation der Schichten zu Beschädigungen führen würde. Das verhindert aber nur die (Ver-) Fälschung vorhandener Ausweise aber nicht den Einsatz von Totalfälschungen.

Nur Dokumentenprüfgeräte, wie sie an Flughäfen und stationären Grenzkontrollstationen im Einsatz sind finden solche Fälschungen, da sie online betrieben werden und auf einen zentralen Datenserver (aller Ausweisdaten??) zugreifen. Bei Kontrollen in Bussen und Bahnen kann es durch die langsamere Netzanbindung über Mobilfunk zu verlängerten Grenzstopps kommen.

Mehr dazu bei https://www.heise.de/tp/features/Sind-Personaldokumente-faelschungssicher-4156899.html

und https://www.aktion-freiheitstattangst.org/de/articles/6613-20180909-faelschungsichere-ausweise-papier-oder-besser-kunststoff.htm